Zoom : des actions pour résoudre les problèmes de confidentialité et de sécurité de l’application

Surfant sur le boom de l’utilisation des applications de visioconférences, l’application Zoom a enregistré un nombre record d’utilisateurs quotidiens, passant de 10 millions en décembre dernier à 200 millions au mois de mars. Fondée par Eric S. Yuan, ex-vice-président ingénierie de WebEx, l’application s’est rapidement imposée dans les foyers, pour une utilisation professionnelle (réunions, vidéoconférences) comme personnelle (apéro Zoom, anniversaires virtuels).

Face à ce succès grandissant, de nombreux problèmes liés à la sécurité et la confidentialité des utilisateurs sont apparus, obligeant de plus en plus d’entreprises, (Google, la Nasa, Space X), de pays (l’Allemagne, l’Australie, le Canada, Taïwan) et plusieurs États américains, dont celui de New York, à interdire son utilisation.

Zoom bombing, partage des données sur Facebook, faux chiffrement…

La crainte de ces entreprises et des gouvernements, qui avaient pris l’habitude de s’en servir pour organiser leurs visioconférences, n’a fait que grandir au fur et à mesure que la liste des accusations a pris de l’ampleur.

Le Zoom bombing

La plus visible n’est autre que le Zoom bombing : ce surnom a été donné lorsque des participants s’incrustent dans des réunions et des chats, alors qu’ils n’ont pas été invités. Certains médias ont ainsi relaté que des réunions Zoom avaient été piratées et bombardées d’images pornographiques ou haineuses.

Le partage des données avec Facebook

Fin mars, Motherboard a révélé que la version iOS de Zoom partageait certaines informations de ses utilisateurs avec Facebook, et ce à leur insu. Une semaine plus tard, un autre problème de sécurité a été découvert : les algorithmes de Zoom ont inscrit de nombreux utilisateurs sur des annuaires d’entreprises de manière aléatoire. Il était donc possible d’accéder à l’adresse mail et appeler par visioconférence de nombreux usagers de Zoom.

Le faux chiffrement des flux vidéo

Alors que l’application avait annoncé que ses communications vidéo étaient chiffrées de bout en bout, une information publiée par The Intercept a montré que cela n’était pas exactement le cas. Si les flux vidéo sont bien chiffrés entre les utilisateurs et les serveurs, ils ne le sont plus une fois présents sur les serveurs de l’éditeur. Le personnel de Zoom ayant un accès aux serveurs pouvait ainsi voir et écouter des visioconférences organisées depuis la plateforme en ligne.

Certains utilisateurs ont également trouvé des enregistrements de chats vidéo dans des bases de données non sécurisées sur le cloud. D’autres ont remarqué que l’identifiant de session des meetings vidéo, comme celui du Conseil des ministres britannique, partagé via le compte Twitter du Premier Ministre Boris Johnson, était visible sur l’écran, un principe contraire aux règles de cybersécurité.

This morning I chaired the first ever digital Cabinet.

Our message to the public is: stay at home, protect the NHS, save lives. #StayHomeSaveLives pic.twitter.com/pgeRc3FHIp

— Boris Johnson #StayHomeSaveLives (@BorisJohnson) March 31, 2020

Parmi les autres griefs à l’encontre de Zoom, des vulnérabilités et des failles critiques ont été signalées sur Windows comme sur Mac, donnant ainsi la possibilité de récupérer les droits d’accès d’un utilisateur pour le surveiller sans qu’il ne s’en aperçoive.

Une mise à jour pour renforcer la sécurité de l’application

Pour répondre au flot de critiques qui se sont abattues sur lui, l’éditeur Zoom Video Communications Inc a pris la parole par l’intermédiaire de son CEO et fondateur, Eric S. Yuan. Ce dernier a publié une lettre ouverte adressée à ses utilisateurs, dans lequel il s’excuse et reconnaît les mauvaises pratiques identifiées par les internautes et les médias.

Preuve de sa volonté de transparence, Eric S. Yuan a lancé une série de webinars, chaque mercredi à 10h, intitulés « Ask Eric anything » , au cours duquel il communique sur les dernières mises à jour de l’application et répond aux questions des participants. Le premier rendez-vous, qui s’est tenu le 8 avril, a ainsi réuni plus de 5 900 personnes.

L’application a également été mise à jour avec de nouvelles fonctionnalités. L’objectif : corriger les failles identifiées et renforcer la sécurité de Zoom.

Une nouvelle fonctionnalité : Security

Avec cette mise à jour, une nouvelle icône de sécurité fait son apparition dans la barre d’outils située en bas de l’écran. Elle propose de nouvelles fonctionnalités, qui permettent de simplifier les actions liées à la sécurité pour les animateurs et les co-animateurs pendant un chat vidéo, à savoir :

• Verrouiller la réunion,
• Activer la salle d’attente,
• Supprimer des participants,
• Limiter la capacité des participants à partager leur écran, chatter en réunion, changer leur pseudo ou encore apporter des annotations sur le contenu partagé de l’hôte.

À noter aussi que la salle d’attente et les mots de passe pour les réunions sont désormais activés par défaut pour les comptes basic et pro sous licence gratuite, de même que pour les comptes éducation (programme K-12).

Les autres actions mises en place pour renforcer la sécurité de Zoom

Parmi les autres mesures de sécurité mises en place sur Zoom, on peut noter :

• La suppression et la reconfiguration du SDK de Facebook pour l’utilisation de Zoom sur iOS, afin d’empêcher la collecte des données sur les appareils des utilisateurs,
• Le masquage natif des ID de meeting, remplacé par la mention « Zoom » pour toutes les réunions,
• La mise à jour de la politique de confidentialité avec plus de transparence sur les donnés collectées et la manière dont elles sont utilisées par l’éditeur,
• La suppression de la fonction de suivi des participants,
• La suppression de l’option permettant de remplir automatiquement une liste de contacts avec des utilisateurs d’un même domaine,
• La correction des deux failles de sécurité rencontrées sur Mac.

La mise à jour de Zoom (version 4.6.10) est disponible sur desktop (Mac, Windows), sur mobile (iOS, Android), sur tablette (iPad) et sur le web.